Sortie de Node 5.3 : petites améliorations pour la plateforme JavaScript

Le , par vermine, Responsable JavaScript & AJAX
Sortie de Node 5.3 : petites améliorations
pour la plateforme JavaScript


L'équipe de Node vient d'annoncer la sortie de la révision 5.3.

Cette nouvelle version contient :

  • la mise à jour vers libuv 1.8.0 ;
  • la possibilité d'importer des modules tiers ;
  • une meilleure gestion des exceptions ;
  • etc.


Documentation de la version 5.3

Télécharger Node.js

Source : Article sur le blog de Node

Et vous ?

Avez-vous testé les nouvelles fonctionnalités de Node 5.3 ? Qu'en pensez-vous ?

Voir aussi

Les cours et tutoriels du JavaScript côté serveur


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de vermine vermine - Responsable JavaScript & AJAX https://www.developpez.com
le 10/02/2016 à 8:06
Sortie de Node 5.6 : importante révision de sécurité
pour la plateforme JavaScript


L'équipe de Node vient d'annoncer la sortie de la révision 5.6.

Cette nouvelle version contient :

  • une correction de sécurité au niveau du parsing des en-têtes HTTP aussi bien pour les requêtes que pour les réponses. Vous trouverez plus d'information ici. Cela concerne les techniques de smuggling et de splitting ;
  • une mise à jour des modules npm et openssl ;
  • etc.


Les versions 0.10.42 et 0.12.10 ont également été mises à jour pour corriger cette faille de sécurité.

Documentation de la version 5.6

Télécharger Node.js

Source : Article sur le blog de Node

Et vous ?

Connaissiez-vous cette faille et que pensez-vous de la correction de Node ?

Voir aussi

Les cours et tutoriels du JavaScript côté serveur
Avatar de michel.bosseaux michel.bosseaux - Membre averti https://www.developpez.com
le 10/02/2016 à 10:01
J'ai du mal à comprendre la logique des numéros de version de Node.

Je vois des 5.3 et 5.6 d'une part ... et des 0.12 d'autres part ... quelqu'un pourrait-il m'expliquer à quoi cela correspond ?

Merci d'avance
Avatar de Jonyjack Jonyjack - Membre averti https://www.developpez.com
le 10/02/2016 à 11:20
Citation Envoyé par michel.bosseaux Voir le message
J'ai du mal à comprendre la logique des numéros de version de Node.

Je vois des 5.3 et 5.6 d'une part ... et des 0.12 d'autres part ... quelqu'un pourrait-il m'expliquer à quoi cela correspond ?

Merci d'avance
Avec ce lien t'y verras plus clair : https://nodejs.org/en/download/releases/
Avatar de vermine vermine - Responsable JavaScript & AJAX https://www.developpez.com
le 10/02/2016 à 13:02
Je ne sais pas tout annoncer malheureusement. Je fais en fonction de mes disponibilités. Ce qui explique le passage de la news 5.3 à la news 5.6.

Pour le reste, les frameworks proposent souvent de maintenir deux ou trois versions. C'est principalement dû à un changement radical des concepts, de la logique et du cœur du framework. Ça permet aux développeurs d'anciens projets de ne pas devoir migrer vers les nouvelles versions tout en conservant les mises à jours. Cependant, ces mises à jours se limitent généralement à des corrections et non plus à l'ajout de nouvelles fonctionnalités.
Avatar de michel.bosseaux michel.bosseaux - Membre averti https://www.developpez.com
le 10/02/2016 à 13:16
Merci pour vos réponses.
En effet, avec le tableau des versions présenté comme ça, c'est beaucoup plus clair.
Avatar de Raphael1980 Raphael1980 - Membre régulier https://www.developpez.com
le 18/02/2016 à 16:42
Bonne rencontre,

Nous commençons à utiliser Node.js et je dois dire que je suis un peu perdu avec ces différences de versions.

Pourquoi je peux espérer au mieux une version 0.12.x chez un hébergeur alors que la dernière version stable est la 5.6.0 ou la 4.3.1 pour la version à long terme ?

Merci pour vos informations.

Amicalement,
Raphaël.
Avatar de Logan Mauzaize Logan Mauzaize - Rédacteur/Modérateur https://www.developpez.com
le 19/02/2016 à 23:37
Citation Envoyé par Raphael1980 Voir le message
Pourquoi je peux espérer au mieux une version 0.12.x chez un hébergeur alors que la dernière version stable est la 5.6.0 ou la 4.3.1 pour la version à long terme ?
"Node.js" n'avait pas atteint la version 1 quand celui-ci a été forké en "io.js" (1.Y à 3.Y) suite à des dissidences. Puis finalement un consensus a été trouvé et le résultat mergé sous le libellé Node.js X.Y.Z (X > 4).

Il existe donc actuellement 4 versions majeurs de cet écosystème : Node.js 0.12.Z (branche originelle avant fork et merge), io.js 3.X (fork avant merge), Node.js 4.Y (première version mergé), Node.js 5.Y (dernière version majeure).

J'espère que tout cela sera un peu plus clair
Avatar de vermine vermine - Responsable JavaScript & AJAX https://www.developpez.com
le 02/03/2016 à 8:06
Node 5.7 devra s'adapter à la faille de sécurité d'OpenSSL
la plateforme JavaScript utilise OpenSSL dans plusieurs versions


L'équipe de Node vient d'annoncer la sortie de la révision 5.7.

Cette nouvelle version contient :

  • un argument d'encodage pour les buffers ;
  • une option 'shell' pour spawn() et spawnSync() pour permettre l'exécution de commande dans une invite de commande ;
  • une propriété indiquant si le serveur est à l'écoute de connexion ;
  • de meilleures performances ;
  • etc.


De son côté, l'équipe d'OpenSSL a annoncé une révision importante concernant plusieurs défauts relativement graves au sujet de leur stratégie de sécurité. Node.js utilise OpenSSL (Node.js v0.10 et v0.12 utilisent OpenSSL v1.0.1, tandis que Node.js v4 et v5 utilisent OpenSSL v1.0.2) et risque d'être en partie impacté. L'équipe est en train d'étudier la question et va peut-être sortir une mise à jour dans la semaine.

Cependant, la gravité ne serait pas aussi importante que cela et concerne des cas de configurations particuliers. De plus, les derniers développements de OpenSSL suivent l'évolution de Node.js 5.7.0 qui s'approche de plus en plus de la version 6.0.0. L'équipe pense que plusieurs utilisateurs vont attendre la version 6.0.0 qui sortira fin avril plutôt que d'utiliser les versions 5.x.

Documentation de la version 5.7
Télécharger Node.js

Sources : Article sur le blog de Node et sur InfoWorld.

Et vous ?

Êtes-vous impacté par ces défauts de sécurité ?

Voir aussi

Les cours et tutoriels du JavaScript côté serveur
Avatar de gretro gretro - Membre actif https://www.developpez.com
le 02/03/2016 à 17:53
En même temps, y a-t-il vraiment beaucoup de gens qui utilisent SSL sur Node?

Perso, je laisse Node en http sur un port bâtard et j'installe un nginx en mode proxy inversé qui lui est en HTTP / HTTPS.

Y a-t-il d'autres options sérieuses pour un serveur en production?
Avatar de vermine vermine - Responsable JavaScript & AJAX https://www.developpez.com
le 09/03/2016 à 14:58
Node : sorties des nouvelles révisions corrigeant les problèmes OpenSSL
pour la plateforme JavaScript


Suite aux problèmes de sécurité rencontrés par l'outil OpenSSL, l'équipe de Node vient d'annoncer la sortie des révisions :

  • 0.10.43 ;
  • 0.12.12 ;
  • 4.3.2 ;
  • 5.7.1.


Pour les révisions 4.3.2 et 5.7.1, c'est la version 1.0.2g de OpenSSL qui est maintenant utilisée. Cela corrige le parsing des clefs DSA qui peut être potentiellement utilisé pour faire des attaques DoS ou de corruption de mémoire. Malgré les termes cités, il faut relativiser car les utilisateurs de Node.js n'étaient quasi pas impactés par ce problème. C'est un peu moins le cas pour les attaques du CacheBleed qui concernent la récupération des clefs privées RSA lorsqu'on utilise les thread sur une micro architecture Intel Sandy Bridge.

Pour les révisions 0.10.43 et 0.12.12, c'est la version 1.0.1s de OpenSSL qui est maintenant utilisée. Version qui corrige les mêmes problèmes. L'équipe Node.js a également supprimer le support de SSLv2 qui favorise les attaques DROWN.

Descriptions officielles : CVE-2016-0705, CVE-2016-0797 et CVE-2016-0702.

Ces révisions comportent également des corrections qui concernent principalement des régressions survenues dans des révisions précédentes.

Télécharger Node.js en version 0.10.43, 0.12.12, 4.3.2 ou 5.7.1.

Source : Articles sur le blog de Node.

Voir aussi

Les cours et tutoriels du JavaScript côté serveur
Responsable bénévole de la rubrique JavaScript : Xavier Lecomte -